Threat hunting: Aktivní přístup k obraně

O co vlastně jde?

Threat hunting je metodou proaktivního hledání hrozeb, které se skrývají v systémech organizace. Experti prohlašují, že se tato aktivita stává základním prvkem podnikového zabezpečení, které staví na obraně s využitím konvenčního perimetru a navzdory své důležitosti není spolehlivé.

„Bezpečnostní model obrany perimetru ponechává společnosti vystavené útokům zvenku i zevnitř, takže  ředitelé zabezpečení informací musejí předpokládat, že již útočníci pronikli dovnitř, a aktivně hledat stopy těch, kdo se skrývají ve stínu,“ vysvětluje Gregory J. Touhill z Carnegie-Mellonovy univerzity a bývalý šéf IT bezpečnosti administrativy prezidenta Obamy.

Bezpečnostní týmy samozřejmě vždy měly na starost identifikaci hrozeb a eliminaci těch, které pronikly přes obranu. Historicky však práce bezpečnostních týmů probíhala v oblasti identifikace ve formě reakce na nějaký způsob, jak o sobě hrozba dala vědět, například když na ni upozornil monitorovací systém v SOC (provozní centrum zabezpečení).

„Průměrná doba přítomnosti hrozeb v systému před detekcí bývá více než 100 dní, takže je potřebné jejich aktivitu hledat,“ vysvětluje Mike Ortlieb, ředitel pro zabezpečení v poradenské společnosti Protiviti. „Threat hunting umožňuje eliminovat útočníky dříve, než uspějí.“

To je důvod, proč Ortlieb a další odborníci zdůrazňují proaktivní povahu lovu hrozeb a zdůrazňují, že pomáhá ředitelům zabezpečení informací a jejich týmům lépe chránit jejich organizaci.

„Threat hunting je v podstatě činnost, při které proaktivně hledáte hrozby, jež jsou skryté – a to je opravdu důležité, protože velké množství aktérů z řad států, zločineckých skupin apod. se nyní dokáže schovat někde ve vaší síti a číhat v temných zákoutích, kde mohou shromažďovat informace a studovat vás, váš personál, vaše taktiky a metody a získávají vaše data a přihlašovací údaje,“ prohlašuje Touhill.

Podle něj tam mohou sedět a učit se chápat vaše firemní procesy a zjišťovat přihlašovací údaje, aniž dochází k jejich odhalení. A potom, v okamžiku podle svého rozhodnutí, mohou zahájit útok. Vidět je to jak v soukromém, tak i ve veřejném sektoru.

Motivace k lovu

Cílem týmu zabezpečení samozřejmě vždy bylo zastavit pohromy co nejdříve, nehledě na to, zda to znamenalo zablokovat útok zvenčí, nebo zamezit rizikovému chování zaměstnanců.

Ředitelé zabezpečení však obecně uznávají, že jejich dlouhodobě používané strategie nejsou tak účinné, jak by si v oblasti zastavování útoků přáli.

Krásně to demonstrují zjištění společnosti Arkose Labs, která je dodavatelem platformy kybernetického zabezpečení. Podle její podrobné zprávy o podvodech a zneužití v druhém kvartále roku 2020 bylo za první čtvrtletí globálně zjištěno 445 milionů útoků, což je 44% nárůst.

Tyto statistiky nejsou anomálií – další studie konzistentně ukazují, že počet kybernetických útoků roste. Současně dochází k růstu složitosti a prostupnosti podnikového prostředí IT a perimetr oddělující systémy organizací od zbytku technologického světa rychle mizí.

Týmy podnikového zabezpečení mají často problém udržet krok, uvádí Wolfgang Goerlich, bezpečnostní manažer společnosti Cisco.

Provozní centra zabezpečení jsou podle něj zaplavena upozorněními na možné problémy v takovém množství, že není v jejich možnostech je jednotlivě zkoumat. Zpráva 2020 CISO Benchmark Report od společnosti Cisco uvádí, že 41 % organizací dostává více než 10 tisíc upozornění denně.

Podle této zprávy se brzy dostavuje únava z objemu varování a v jejím důsledku nejsou týmy zabezpečení tak efektivní, jak by mohly být. „Pokud na vás něco neustále doráží, nemůžete se nikdy dostatečně zamyslet nad jednotlivými případy,“ upozorňuje Goerlich.

Poukazuje také na to, že upozornění obecně označují aktivní pokusy o útok a nejsou nutně účinné při hledání hrozeb, které buď čekají na vhodný okamžik k útoku, nebo jsou nové a v důsledku toho pro monitorovací systémy neznámé.

Goerlich tvrdí, že podle jejich zkušeností nastává při kombinaci přetížení varováními a přísně reaktivního přístupu situace, kdy organizace není dostatečně chráněná. Sám vedl tým simulující útoky na společnost, aby testoval její stav zabezpečení pomocí různých taktik pro průnik do systémů firmy.

Bezpečnostní tým samozřejmě identifikoval jednotlivé části útoku a monitorovacími systémy upozornily provozní centrum zabezpečení na phishingové e-maily a malware. Přestože však bezpečnostní tým úspěšně zastavil individuální pokusy, takže z nich nevznikl plně rozvinutý incident, nedokázal vidět celý obraz, kde probíhal koordinovaný útok několika způsoby.

„Když uzavíráte tikety rychlým způsobem, jak byste měli, chybí vám následně komplexní přehled o tom, co se vlastně děje,“ vysvětluje Goerlich.

Threat hunting svým proaktivním přístupem a zaměřením na kompletní prostředí IT včetně varování však pomáhá týmům zabezpečení takové aktivity rozpoznat.

Pro koho to je?

Lov hrozeb není nový, ale stává se základní vrstvou zabezpečení podniků, jak nové technologie jako strojové učení dozrávají a stávají se běžnými a jak začíná být široce dostupná a využívaná technologie threat intelligence.

„Threat hunting už není rarita a za posledních pár let ho začalo využívat více organizací,“ uvádí Goerlich.

Loňská zpráva CISO Benchmark Report společnosti Cisco uvádí, že lov hrozeb využívá už 76 % velkých podniků. Další sdělení této firmy z oblasti zabezpečení malých firem (Big Security in a Small Business World: 10 myth busters for SMB cybersecurity) pak dodává, že 72 % malých a středně velkých organizací má personál specializovaný na threat hunting.

Goerlich tvrdí, že plně vyzrálý program má málo organizací, protože je lov hrozeb pro většinu z nich stále novým bezpečnostním postupem.

Experti navíc uznávají, že větší podniky mají obecně zralejší postupy pro threat hunting, protože dokážou lépe zajistit technologie a personál potřebné pro efektivní realizaci.

U velkých organizací je také větší pravděpodobnost, že nastane lov hrozeb v podobě výhradního zaměření personálu, kdežto podniky menší obecně jej praktikují jako jednu z pracovních činností.

Návratnost investic

Goerlich je přesvědčený, že lov hrozeb umožňuje šéfům zabezpečení lépe chápat jejich systémy,  zranitelnosti a pravděpodobné cíle hackerů, což všechno může přinášet potřebné informace pro implementace různých zlepšení a pro lepší kontrolu.

„Návratnost investic threat huntingu spočívá v identifikaci širších probíhajících útoků a v zastavení těch, které proklouzly sítí monitoringu,“ popisuje. „Lov hrozeb je hluboká a soustředěná práce. Vyžaduje to tým, který zkoumá data a hledá v nich vzorce chování a aktivit, jež běžné monitorovací nástroje opominou.“

Studie ukazují, že threat hunting je opravdu účinný. Průzkum institutu SANS zaměřený na lov hrozeb (Threat Hunting Survey: The Differing Needs of New and Experience Hunters), vydaný v říjnu 2019, uvádí, že 61 % z 575 respondentů využívajících lov hrozeb zaznamenalo měřitelné zlepšení celkového stavu svého zabezpečení.

„Alespoň nějaký lov hrozeb je lepší než žádný,“ radí Ortlieb. „Můžete začít věnovat nějaký čas základnímu lovu, kdy budete hledat věci vypadající abnormálně. I to málo bude mít dva přínosy: dozvíte se něco více o svých vlastních běžných aktivitách a možná budete schopní zjistit i škodlivé aktivity.“

Efektivní lov

Stejně jako u ostatních částí podnikového zabezpečení zahrnuje solidní program lovu hrozeb kombinaci vhodných osob, procesů a technologií, a samozřejmě také závazek takovou práci dělat.

„Dobrý tým pro threat hunting má mandát k analýzám a ke zkoumaní dat, která nemusejí souviset s varováními,“ upozorňuje Goerlich. „Mají data a nástroje od týmu monitoringu sítě a dokážou kombinovat threat intelligence k pochopení zločinců i vlastní infrastruktury, zkoumat vzorce chování a svá zjištění použít jako vstup pro funkce reakcí na incidenty.“

Aissi uvádí, že používá různé technologie pro lov hrozeb a využívá taktické, provozní a strategické zdroje threat intelligence k pochopení taktiky, metod a postupů (TTP) typicky používaných útočníky. Poznamenává, že analytika, inteligentní systémy a automatizace tvoří základ k vytvoření optimalizovaného programu.

Klíčové prvky účinného programu lovu hrozeb zahrnují dobrou variantu threat intelligence a analytické nástroje zabezpečení vylepšené strojovým učením, pokročilou praxi SIEM (správa informací a událostí zabezpečení) a forenzní schopnosti, které nabízejí podporu a umožňují zvládnout libovolné potřebné šetření při lovu.

Tyto části společně se schopným analytikem umožňují týmu pro threat hunting identifikovat anomální aktivity útočníků, které jsou skryté a často zdařile napodobují legitimní přenosy v podnikových systémech.

Místo v zabezpečení

Aissi a další také zdůrazňují, že investice do threat huntingu by neměly být na úkor jiných bezpečnostních programů. Lov hrozeb je rozšířením konvenčních obranných postupů a dalších bezpečnostních vrstev.

„Threat hunting je jen jedním aspektem toho, co je potřebné zvládat v rámci celkového plánu zabezpečení,“ uvádí Theresa Lanowitz z firmy AT&T Cybersecurity. Organizace, které implementují skutečně dobré bezpečnostní postupy a nástroje,  podle ní dělají nezbytné první kroky.

„Je nutné používat přístup založený na bezpečnostních vrstvách, který může být velmi efektivní při zastavení většiny útoků. Navíc je však potřeba ošetřit riziko některých pokročilých hrozeb – těch, které pronikly přes jiné vrstvy. Potřebujete tyto útoky zastavit dříve, než nastanou. Threat hunting tuto schopnost přináší,“ dodává Lanowitz.

Zločinci se snaží uniknout pozornosti a jen sbírat informace. Mají své uši, jako ponorky, a prostě sedí na dně a nic nepřenášejí, jen přijímají. Jednou za čas však informace zabalí a odešlou je v dávce na příkazový a řídicí server. Vypadá to jako dvojník, jako kontakt s legitimním serverem. Pokud to nečekáte, nemusíte si toho všimnout, varuje Touhill. „Když jste ve střehu a čekáte to, máte větší šanci to odchytit.“

Studie ukazují, že threat hunting je opravdu účinný. Průzkum institutu SANS zaměřený na lov hrozeb (Threat Hunting Survey: The Differing Needs of New and Experience Hunters), vydaný v říjnu 2019, uvádí, že 61 % z 575 respondentů využívajících lov hrozeb zaznamenalo měřitelné zlepšení celkového stavu svého zabezpečení.